Cómo transmitir registros de actividad a un centro de eventos
El inquilino de Microsoft Entra genera grandes cantidades de datos cada segundo. La actividad de inicio de sesión y los registros de los cambios realizados en el inquilino suman una gran cantidad de datos que pueden ser difíciles de analizar. La integración con las herramientas de Administración de eventos e información de seguridad (SIEM) puede ayudarle a obtener información sobre su entorno.
En este artículo se muestra cómo transmitir los registros a un centro de eventos, para integrarlos con una de varias herramientas de SIEM.
Requisitos previos
Para transmitir registros a una herramienta SIEM, primero debe crear un centro de eventos de Azure. Aprenda a crear un centro de eventos.
Una vez que tenga un centro de eventos que incluya registros de actividad de Microsoft Entra, puede configurar la integración de herramientas SIEM mediante la Configuración de diagnóstico de Microsoft Entra.
Transmitir registros a un centro de eventos
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comience.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
Vaya a Identidad>Supervisión y estado>Configuración del diagnóstico. También puede seleccionar Exportar configuraciones desde la página de Registros de auditoría o Inicios de sesión.
Seleccione + Agregar configuración de diagnóstico para crear una nueva integración o seleccione Editar configuración para una integración existente.
Escriba un Nombre de configuración de diagnóstico. Si está editando una integración existente, no puede cambiar el nombre.
Seleccione las categorías de registro que desee transmitir.
Active la casilla Transmitir a un centro de eventos.
Seleccione la suscripción de Azure, el espacio de nombres de Event Hubs y el centro de eventos opcional en el que desea enrutar los registros.
Tanto la suscripción como el espacio de nombres de Event Hubs deben estar asociados al inquilino de Microsoft Entra desde el que se envían los registros.
Una vez que tenga listo el centro de eventos de Azure, vaya a la herramienta SIEM que desea integrar con los registros de actividad. El proceso finaliza en la herramienta SIEM.
Actualmente se admite Splunk, SumoLogic y ArcSight. Selecciona una pestaña a continuación para empezar. Consulte la documentación de la herramienta.
Para usar esta característica, necesita el Complemento de Splunk para Microsoft Cloud Services.
Integración de registros de Microsoft Entra con Splunk
Abra la instancia de Splunk y seleccione Resumen de datos.
Seleccione la pestaña Sourcetypes y, a continuación, seleccione mscs:azure:eventhub
Anexe body.records.category=AuditLogs a la búsqueda. En la siguiente ilustración se muestran los registros de actividad de Microsoft Entra:
Si no puedes instalar un complemento en la instancia de Splunk (por ejemplo, si usas un proxy o se ejecuta en Splunk Cloud), puedes reenviar estos eventos al recopilador de eventos de HTTP de Splunk. Para ello, use esta función de Azure que se desencadena con los nuevos mensajes del centro de eventos.
Consideraciones y opciones de integración del registro de actividad
Si su herramienta SIEM actual aún no se admite en los diagnósticos de Azure Monitor, puede configurar herramientas personalizadas mediante las API de Event Hubs. Para más información, consulte la Introducción a la recepción de mensajes con el Host del procesador de eventos en .NET Standard.
IBM QRadar es otra opción para la integración con los registros de actividad de Microsoft Entra. El DSM y el protocolo de Azure Event Hubs están disponibles para descarga en el Soporte técnico de IBM. Para más información sobre la integración con Azure, vaya al sitio IBM QRadar Security Intelligence Platform 7.3.0.
Algunas categorías de inicio de sesión contienen grandes cantidades de datos de registro, en función de la configuración del inquilino. En general, los inicios de sesión de usuario no interactivos y los inicios de sesión de entidad de servicio pueden ser entre 5 y 10 veces mayores que los inicios de sesión de usuario interactivos.